hacktricks/generic-methodologies-and-resources/phishing-methodology/detecting-phising.md

Détection de phishing

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !

• Découvrez The PEASS Family, notre collection d'NFTs exclusifs

• Obtenez le swag officiel PEASS & HackTricks

• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.

• Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et au dépôt hacktricks-cloud.

Introduction

Pour détecter une tentative de phishing, il est important de comprendre les techniques de phishing qui sont utilisées de nos jours. Sur la page parente de ce post, vous pouvez trouver cette information, donc si vous n'êtes pas au courant des techniques qui sont utilisées aujourd'hui, je vous recommande d'aller sur la page parente et de lire au moins cette section.

Ce post est basé sur l'idée que les attaquants essaieront de quelque manière que ce soit de mimer ou d'utiliser le nom de domaine de la victime. Si votre domaine s'appelle example.com et que vous êtes victime d'un phishing en utilisant un nom de domaine complètement différent pour une raison quelconque comme youwonthelottery.com, ces techniques ne le découvriront pas.

Variations de noms de domaine

Il est assez facile de découvrir ces tentatives de phishing qui utiliseront un nom de domaine similaire à l'intérieur de l'e-mail.
Il suffit de générer une liste des noms de phishing les plus probables qu'un attaquant peut utiliser et de vérifier s'il est enregistré ou simplement de vérifier s'il y a une IP qui l'utilise.

Trouver des domaines suspects

À cette fin, vous pouvez utiliser l'un des outils suivants. Notez que ces outils effectueront également des requêtes DNS automatiquement pour vérifier si le domaine a une adresse IP qui lui est assignée :

• dnstwist
• urlcrazy

Bitflipping

Dans le monde de l'informatique, tout est stocké en bits (zéros et uns) en mémoire en arrière-plan.
Cela s'applique également aux domaines. Par exemple, windows.com devient 01110111... dans la mémoire volatile de votre appareil informatique.
Cependant, que se passe-t-il si l'un de ces bits est automatiquement inversé en raison d'une éruption solaire, de rayons cosmiques ou d'une erreur matérielle ? C'est-à-dire qu'un des 0 devient un 1 et vice versa.
En appliquant ce concept aux requêtes DNS, il est possible que le domaine demandé qui arrive au serveur DNS ne soit pas le même que le domaine initialement demandé.

Par exemple, une modification de 1 bit dans le domaine microsoft.com peut le transformer en windnws.com.
Les attaquants peuvent enregistrer autant de domaines de basculement de bits que possible liés à la victime pour rediriger les utilisateurs légitimes vers leur infrastructure.

Pour plus d'informations, consultez https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Tous les noms de domaine de basculement de bits possibles doivent également être surveillés.

Vérifications de base

Une fois que vous avez une liste de noms de domaine suspects potentiels, vous devriez les vérifier (principalement les ports HTTP et HTTPS) pour voir s'ils utilisent un formulaire de connexion similaire à celui de la victime.
Vous pouvez également vérifier le port 3333 pour voir s'il est ouvert et s'il exécute une instance de gophish.
Il est également intéressant de savoir depuis combien de temps chaque domaine suspect découvert existe, plus il est jeune, plus il est risqué.
Vous pouvez également obtenir des captures d'écran de la page web HTTP et/ou HTTPS suspecte pour voir si elle est suspecte et dans ce cas, y accéder pour approfondir.

Vérifications avancées

Si vous voulez aller plus loin, je vous recommande de surveiller ces domaines suspects et de rechercher plus une fois de temps